| |
病毒名称:Netsky
蠕虫别名:W32/Netsky.b@MM[McAfee],W32/Netsky.B.worm[Panda],
WORM_NETSKY.B[TrendMicro],Moodown.B[F-Secure],
I-Worm.Moodown.b [Kaspersky]
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
蠕虫描述:
W32.Netsky.B是一种邮件群发蠕虫,通过邮件附件传播,当你运行该带病毒的附件后
便会被感染。蠕虫会扫描系统的硬盘及映射盘上的邮件地址,并使用自身的SMTP引擎发送
带有病毒的邮件到上述地址中。同时他还会扫描系统硬盘上的共享文件夹,并将自身拷贝
到这些共享文件夹。由于蠕虫传播的速度很快,塞门铁克已经将该蠕虫的危害级别提升为
4级。
一旦机器感染该蠕虫,蠕虫将做以下操作:
1、在系统中创建一个名为AdmSkynetJKIS003的互斥体,该互斥体存在的目的是保证系统进程
中始终有且只有一个蠕虫进程在运行。
2、可能会显示一个包含如下内容的对话框:
The file could not be opened!
3、将自身拷贝为%Windir%\services.exe (注:%Windir%是一个变数,根据系统安装的目录路
径而改变,默认情况下是c:\windows或c:\winnt)
4、在注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项中添加以下值:"service" = "%Windir%\services.exe -serv"
使得蠕虫能在系统重新启动后自动运行。
5、删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"Taskmon" 表值
删除注册表
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices项中
的"Explorer"表值
6、删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中
的"KasperskyAV"和"System"表值
7、删除注册表中的
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32项
(注:以上几项被删除的注册表项是mydoom蠕虫留下的)
8、从带有以下扩展名的文件中搜寻邮件地址:
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
9、查询硬盘驱动器从盘符C到Z中的共享文件夹,如果驱动器不是CD-ROM的话,就将自身拷贝
到这些共享文件中,生成的病毒文件可能是下列文件名中的一个:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
10、使用自身带的SMTP程序发送带病毒的邮件到上述查找到的邮件地址中。
发送的邮件包含以下特征:
From: (随机伪造的)
Subject: (下列各项中随机选取一项)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Message: (下列各项中随机选取一项)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
附件名称: (下列各项中随机选一项)
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
附件扩展名 1: (下列各项中随机选一项)
.txt
.rtf
.doc
.htm
附件扩展名 2: (下列各项中随机选一项)
.exe
.scr
.com
.pif
11、创建40个zip格式的压缩文件,文件大小22,016 字节,压缩文件中包含蠕虫,文件所用
的名字与上述附件名称中列出的名字相同。
解决办法:
一、使用专杀工具,你可以到我们网站下载:
FxNeskyB.exe
下载后请关闭其他应用程序后运行该工具。
二、手动查杀
1、升级你的杀毒软件到最新的病毒库
2、重新启动系统到安全模式下
3、使用杀毒软件做全盘的扫描,发现病毒后删除
4、修改注册表,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的
service" = "%Windir%\services.exe -serv"值
5、重新启动机器
参考网站:
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.b@mm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101034
中国教育和科研计算机网紧急响应组(CCERT)
2004 年2月19日
|